Персональные данные

Персональные данные

В каком государстве право на частную жизнь впервые было рассмотрено как юридическая категория:

- США.

Всеобщая декларация прав человека была утверждена на Генеральной Ассамблее ООН:

- в 1948 году;

Правовым стандартом, обязательным для применения в национальных законодательствах стран-членов Европейского Союза в области защиты персональных данных, является: По своему статусу Директива Европейского парламента и Совета Европейского союза № 95/46/ЕС является:

- Директива Европейского парламента и Совета Европейского союза № 95/46/ЕС.

Первый в мире специальный закон о персональных данных был принят:

- в 1970 году;

В каком из государств в настоящее время отсутствует общее (федеральное) законодательство о персональных данных:

- США;

К принципам обработки, исходя из характеристик требований, предъявляемых к персональным данным, относятся:

- принцип определенности целей сбора, обработки и использования персональных данных;
- принцип точности и актуальности;
- принцип  пропорциональности  персональных данных;

Принцип корректности сбора и обработки персональных данных предполагает:

- субъект персональных данных полностью осведомлен о том, на что он дает свое согласие.

В соответствии с принципом определенности целей сбора персональных данных:

- бесцельной обработки персональных данных не может быть;
- цель обработки персональных данных должна быть осознана, заранее сформулирована и, в тех случаях, когда этого требует закон, задокументирована и объявлена.

Персональные данные, исходя из принципа пропорциональности, должны быть:

- адекватными;
- не избыточными в отношении целей, для которых они собираются и/или в дальнейшем обрабатываются;

После достижения цели обработки персональных данных они должны быть:

- уничтожены;
- обезличены.

Обработка персональных данных осуществляется оператором:

- с согласия субъекта персональных данных, если иное прямо не  предусмотрено законом;

Согласие субъекта персональных данных на их обработку не требуется:

- если обработка необходима для исполнения контракта, в котором субъект данных является стороной или для принятия мер до заключения контракта по просьбе субъекта данных;
- если обработка необходима для выполнения определенного законом обязательства, субъектом которого является субъект.

Право личного участия субъекта в работе с его персональными данными обеспечивается возможностью:

- прибегнуть к судебной защите нарушенного права, если запрос либо требование субъекта персональных данных не были удовлетворены;
- получать, на основании запроса от держателя данных, подтверждение по вопросу, накапливаются ли в базе данных касающиеся субъекта персональные данные, и получать информацию о них в доступной форме

Согласие субъекта на обработку особых (специальных) категорий персональных данных должно быть:

- явным
- действенным;

Возможность свободного неограниченного доступа к особым персональным данным возникает вследствие:

- самостоятельного размещения субъектом таких данных в общедоступном источнике;
- поручения субъекта распространителю на размещение данных в общедоступном источнике, оформленное явным образом.

По запросу субъекта оператор обязан производить следующие действия с персональными данными:

- уточнение;
- стирание (уничтожение);
- блокировка;

В случае возможности принятия оператором решения, основанного исключительно на результатах автоматизированной обработки персональных данных, их субъект имеет право на:

- знание логики, заложенной в соответствующий математический механизм;

Является ли объединение компаний в холдинг основанием для создания единой базы персональных данных их работников:

- нет

Соответствует ли принципу пропорциональности обработки персональных данных использование работодателем электронной системы контроля рабочего времени работников, фиксирующей время их ухода и прихода в служебные помещения:

- нет

Слежение работодателя за действиями работников преследует цели:

- обеспечение порядка на предприятии;
- соблюдение ограничений, накладываемых на использование работниками собственности работодателя в своих личных целях.

Подпадают ли, по мнению британского правосудия (процесс Халфорд против Великобритании), телефонные переговоры работника с использованием служебного телефона под понятие «частной жизни»:

- да

Принцип прозрачности в рамках слежения работодателя за действиями работников предполагает необходимость поставить их в известность о:

- наличии оборудования, предназначенного для контроля за действиями работника, целях такого контроля (слежения) и использовании полученных в результате данных;
- фактах злоупотребления, обнаруженных в процессе слежения (за исключением тех случаев, когда обстоятельства заставляют это слежение осуществлять в секрете от работник;

В соответствии с Директивой № 95/46/ЕС субъект персональных данных имеет право:

- обращаться в национальный уполномоченный орган по персональным данным за защитой;
- апеллировать к закону (обращаться в су в любом случае;
- получать компенсацию от лица, связанного с осуществлением обработки, за причиненный ущерб.

Кто дает согласие на обработку персональных данных человека в случае его смерти ?

-     Наследники

Возможно ли объединение баз персональных данных, имеющих несовместимые цели ?

-     Нет

Какие условия необходимо соблюдать при обработке конфиденциальных сведений, гарантирующих защиту прав и законных интересов граждан, в статистических и научных целях ?

-     обеспечение соответствующего режима хранения и защиты, полученных оператором в процессе деятельности персональных данных
-     обезличивание обрабатываемых персональных данных

Необходимо ли согласие субъекта персональных данных необходимо при формировании общедоступных источников персональных данных ?

-     Да
-     Нет, но с возможностью исключения по требованию субъекта персональных данных

Какие категории персональных данных без согласия  работника работодатель не имеет право обрабатывать ?

-     информация о политических, религиозных и иных убеждениях
-     информация о частной жизни

Возможно ли использование персональных данных работника в коммерческих целях ?

-     нет

Какие виды ответственности применяются в области информационных правоотношений:

- административная, гражданско-правовая, уголовная, дисциплинарная.

Сколько дисциплинарных взысканий может применяться к работнику за совершение дисциплинарного проступка ?

- 1

Что входит в понятие «обработка персональных данных» ?

-     все вышеперечисленное

В каких случаях допускается обработка персональных данных без согласия субъекта ?

-     при реализации услуг связи
-     при защите жизни, здоровья субъекта персональных данных

Необходимо ли получение согласия субъекта на обработку персональных данных при наличии договорных отношений между оператором и субъектом ?

-     Нет

Какого рода информацию субъект персональных данных может в любое время суток и бесплатно получать от оператора ?

-     способы обработки персональных данных
-     сроки обработки персональных данных

Необходимо ли согласие субъекта на обработку его персональных в целях продвижения товаров, работ и услуг путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации ?

- Да

Где регистрируются запросы на получение персональных данных в информационных системах ?

-     в электронном журнале обращений

На кого возложена сохранность персональных данных работников в ОАО «РЖД» ?

-     службы управления персоналом

Каким распоряжением утверждена Инструкция по кадровому делопроизводству в ОАО «РЖД» ?

-     №1335 от 30.06.2006г.

Какой орган(ы) наделен(ы) полномочиями в части, касающейся соблюдения требований по организации и обеспечению функционирования шифровальных средств в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах ?

-     федеральная служба безопасности

Сколько дней отводится оператору на устранение нарушений обработки персональных данных ?

-     3

Какая процедура проводится после выявления недостоверности персональных данных в ходе их обработки или по запросу субъекта ?

-     уточнение

Что такое модель угроз?

- модель угроз - это документ, определяющий перечень и характеристики основных (актуальных) угроз безопасности ПДн и уязвимостей при их обработке в ИС ПДн, которые должны учитываться в процессе организации защиты информации, проектирования и разработки систем защиты информации, проведения проверок (контроля) защищенности ПДн;

Что такое сертификация? Речь идет о сертификации СЗИ или информационной системы, обрабатывающей ПДн?

- сертификация – это форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров;
- В РД по защите персональных данных речь идёт о оценке соответствия СЗИ; сертификации системы защиты информационной системы, обрабатывающей ПДн, на соответствие заданию по безопасности или профилю защиты.

Чем отличаются классы защищённости ИС ПДн К1 и К2?

- отличие К1 от К2 состоит в более высоком уровне защиты;

Насколько дороже и сложнее построить систему защиты для класса К1, чем для класса К2?

- так как система защиты для ИС класса К1 должна реализовывать необходимые меры защиты ПДн в большем объёме, то и её стоимость будет выше. Конкретную стоимость работ можно обосновать только после проведения обследования состояния защищённости ИС и моделирования угроз;

Шаги оператора ПДн по выполнению требований Федерального закона 2006 г. № 152 «О персональных данных»?

- провести инвентаризацию ИР, обрабатываемых в ИС, и определить перечень ПДн;
- урегулировать правовые вопросы обработки (использования) ПДн;
- разработать модель угроз;

Каков общий порядок действий компании по организации соответствия своей правовой деятельности требованиям документов ФСТЭК по защите ПДн, правовые, юридические вопросы, в частности: порядок перезаключения договоров на использование ПДн сотрудников?

- правовые вопросы порядка получения и использования персональных данных должны решаться в соответствии с Федеральным законом 2006 г. № 152 ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, другими нормативными правовыми актами по этому вопросу;

Как правильно передавать ПДн 3-ей стороне из компании, какие документы должны регламентировать этот порядок?

- оператор имеет право на основании договора передать персональные данные для обработки другому (третьему) лицу. В этом случае существенным условием договора должна являться обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке;

Каков должен быть уровень внедрения защиты ПДн, к примеру на рабочие станции - средства доверенной загрузки, аутентификации, доступа непосредственно к приложениям, чем определяется данный уровень (моделью угроз, классом ИС ПДн)?

- уровень требований, предъявляемых по обеспечению безопасности персональных данных, обрабатываемых в конкретной ИСПДн, зависит от состава актуальных угроз, определяемого по результатам моделирования угроз, и класса ИСПДн;

Какая организация назначена Уполномоченным органом по защите прав субъектов персональных данных?

- в настоящее время Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Россвязьинформкомнадзор);

Обязательно ли использовать в ИСПДн общесистемное ПО, сертифицированное по требованиям ФСТЭК России?

- в том случае, если встроенные средства безопасности общесистемного ПО заявлены в ИСПДн как средства защиты, такое ПО должно быть сертифицировано по требованиям ФСТЭК России;
- если же используется стороннее ПО (СЗИ), реализующее функции защиты ПДн, тогда такой сертификации общесистемного ПО не требуется;

Организация располагает удаленными филиалами, между которыми постоянно осуществляется обмен данными, в т.ч. персональными. Закон о персональных данных, обязывает шифровать такую информацию, но можно ли обойтись без установки СКЗИ и при этом не нарушить закон?

- в случае использования оператором защищённых каналов связи (например, выделенных оптоволоконных линий связи, передачи данных на съёмном носителе информации при помощи курьера или использования других оргмер) оператору нет необходимости использовать криптосредства для защиты передаваемых персональных данных;
- в случае же использования для передачи персональных данных незащищённых (открытых) каналов связи (кроме случая передачи обезличенных или общедоступных персональных данных), по решению оператора должны применяться средства криптографической защиты. При этом требуемый уровень криптозащиты должен определяться на основании разрабатываемой оператором в соответствии с упомянутыми Методическими рекомендациями модели нарушителя.

Необходимо ли наличие лицензии, если оператор ПДн самостоятельно проводит работы по установке СКЗИ?

- если оператор ПДн приобретает СКЗИ для собственных нужд и самостоятельно проводит работы по его установке, то ему нет необходимости получать лицензию на деятельность по техническому обслуживанию шифровальных (криптографических) средств. Если в технической документации СКЗИ содержится требование по его установке (встраиванию) только организацией, имеющей лицензию ФСБ России, то оператор принимает решение или о получении самому лицензии на этот вид деятельности, или о привлечении для проведения этих работ сторонней организации, имеющей соответствующую лицензию ФСБ России;

Какие документы по защите ПДн и каким надзорным органом согласуются, в каких случаях, порядок согласования (акт классификации, модель и т.д.)?

- согласование никаких документов по обеспечению безопасности персональных данных никакими надзорными органами не предусматривается;

Что будет если класс выбран неверно и проверка надзорных органов это выявит? Есть ли отличие последствий для К1, К2, К3 классов?

- Никакой разницы для ИСПДн классов К1, К2, К3 нет;
- последствий для К1, К2, К3 классов одинаковые.

В соответствии со статьей 22 пункт 2 оператор ПДн не обязан уведомлять надзорные органы, следовательно он не подлежит проверкам?

- надзорный орган на основании жалоб и обращений граждан или юридических лиц имеет право проверять любого оператора ПДн независимо от того, уведомил ли он этот орган о своём намерении осуществлять обработку ПДн или нет;

Что это за лицензия по ПДн, которую выдает Россвязьнадзор и когда её надо получать?

- получение лицензий на право обработки ПДн ФЗ «О персональных данных» не предусматривает;

Какие необходимо принять меры предотвращения и обнаружения внедрения вредоносного программного обеспечения в ИСПДн?

- проводить проверку любых вложений электронной почты и скачиваемой информации на наличие вредоносного программного обеспечения до их использования;
- выполнять установку и регулярное обновление антивирусного программного обеспечения для обнаружения и сканирования компьютеров и носителей информации, запускаемого в случае необходимости в качестве превентивной меры или рутинной процедуры;
- проводить проверку всех файлов на носителях информации сомнительного или неавторизованного происхождения или файлов, полученных из общедоступных сетей, на наличие вирусов перед работой с этими файлами.

______

Приведенные на странице вопросы и ответы собраны по крупицам на просторах интернета: в том числе на неиндексируемых форумах, сайтах вопросов-ответов и других местах.

Данная информация представлена как есть (никакой ответственности за её содержание администрация сайта не несет) и размещена для бесплатного использования (администрация сайта не получает никакой выгоды от размещения данной информации).

Добавить комментарий


Защитный код
Обновить

Счетчик определения тИЦ и PR Яндекс.Метрика

для детей старше 12 лет